Re: doute sur ports utilisés
Le Mercredi 15 Janvier 2003 15:36, Frédéric Massot a écrit :
> patrice wrote:
> > j'utilise la machine en tant qu'utilisateur de base (divers applications
> > utilisées)voilà tout, je suis client chez un fournisseur internet
>
> (tisc...)
>
> > autres activitées qui risquent d'etre plus ennuyeux pour la sécuritée
>
> de mon
>
> > ordinateur(je crois), c'est l'utilisation de p2p parfois, je joue
>
> aussi à un
>
> > jeu en réseau(bzflag) de temps en temps... en général mes plantages
> > surviennent à ces moments là... surtout le p2p...
>
> Donc tu n'as pas vraiment besoin de serveur sur ta machine. Un scan nmap
> ne doit rien te retourner. Surtout pas Telnet, comme dans un précedent
> mail. :o)
>
> Tu peux garder Apache sur ta machine pour pouvoir consulter la doc sur
> ta machine. Mais configure Apache pour avoir un seul virtual host sur
> l'adresse 127.0.0.1.
>
> Regarde les fichiers "/etc/hosts.allow" et "/etc/hosts.deny".
> Dans le premier toutes les lignes devraient être commentées, et dans le
> deuxième tu dois avoir la ligne "ALL: ALL".
>
dans mon host.allow je n'ai qu'une ligne ouverte (je ne crois pas que le mot
soit vraiment technique, mais j'ai trouvé que celui-ci...)
#-- leafnode begin
leafnode: 127.0.0.1
#-- leafnode end
et dans deny:
# ALL: PARANOID
#-- leafnode begin
leafnode: ALL
#-- leafnode end
je pense que ça doit correspondre aux indications que tu me donnais...
bien que leafnode me fait plutot penser à des applications news... lesquelles
je n'utilise que rarement...
> Après, tu peux utiliser Netfilter, en écrivant un script bash avec des
> règles comme :
Netfilter est à mettre dans le noyau ou en module et je m'apercois qu'il n'y
est pâs, donc je vais devoir recompiler mon noyau et l'y insérer...
question subsidiaire, c'est risqué d'aller sur le net sans avoir netfilter?
et shorewall ne fait il pas autant que netfilter? disons, protége t il même
si je n'ai pas netfilter?
en tout cas shorewall m'a l'air d'etre en activité...
>
> iptables -P INPUT DROP
> iptables -P OUTPUT DROP
> iptables -P FORWARD DROP
>
> Diverses règles anti-spoofing, blocages des scans, blocage des adresses
> privées de classes A, B, C, D, E, etc
>
> iptables -A INPUT -m state --state INVALID -j DROP
> iptables -A OUTPUT -m state --state INVALID -j DROP
>
> iptables -A INPUT -p tcp ! --syn -m state --state NEW -j DROP
> iptables -A OUTPUT -p tcp ! --syn -m state --state NEW -j DROP
>
> iptables -A INPUT -p tcp --syn -m state --state ESTABLISHED -j DROP
> iptables -A OUTPUT -p tcp --syn -m state --state ESTABLISHED -j DROP
>
> iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
> iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
>
> iptables -A INPUT -i $LOOPBACK_INTERFACE -j ACCEPT
> iptables -A OUTPUT -o $LOOPBACK_INTERFACE -j ACCEPT
>
> # Requetes DNS sortantes
> iptables -A OUTPUT -o $INTERFACE -p udp -s $AD_IP --sport $UNPRIVPORTS
> -d $NAME_SERVER_1 --dport 53 -m state --state NEW -j ACCEPT
>
> # Requetes DNS sortantes
> iptables -A OUTPUT -o $INTERFACE -p udp -s $AD_IP --sport $UNPRIVPORTS
> -d $NAME_SERVER_2 --dport 53 -m state --state NEW -j ACCEPT
>
> # Envoie de mails
> iptables -A OUTPUT -o $INTERFACE -p tcp -s $AD_IP --sport $UNPRIVPORTS
> --dport 25 -m state --state NEW -j ACCEPT
>
> # Recuperation du courier en POP
> iptables -A OUTPUT -o $INTERFACE -p tcp -s $AD_IP --sport $UNPRIVPORTS
> --dport 110 -m state --state NEW -j ACCEPT
>
> # Accès à Usenet
> iptables -A OUTPUT -o $INTERFACE -p tcp -s $AD_IP --sport $UNPRIVPORTS
> --dport 119 -m state --state NEW -j ACCEPT
>
> # Accès au web
> iptables -A OUTPUT -o $INTERFACE -p tcp -s $AD_IP --sport $UNPRIVPORTS
> --dport 80 -m state --state NEW -j ACCEPT
>
>
> etc
merci,
patrice
--
"Vivez comme si vous deviez mourir demain.
Apprenez comme si vous deviez vivre pour toujours"
,. ( . ) . "
(" ) )' ,' ) . (` '`
.; ) ' (( (" ) ;(, (( ( ;) " )"
_"., ,._'_.,)_(..,( . )_ _' )_') (. _..( '..
Reply to: